欧盟 CRA 认证完整流程：从自评到上市全步骤

一、引言
欧盟《网络弹性法案》（CRA，EU 2024/2847）已于 2024 年 12 月生效，2026 年 9 月漏洞报告义务启动，2027 年 12 月全面强制执行。所有带数字元素产品（PDEs）必须完成 CRA 合规、加贴 CE 标志才能进入欧盟市场。
本文从产品判定→风险分级→合规准备→合格评定→技术文件→CE 加贴→上市后义务，拆解 CRA 认证全流程，帮企业一次性打通从自评到上市的所有关键节点，少走弯路、规避合规风险。
二、第一步：产品适用性判定（先确认是否受 CRA 管辖）
在启动合规前，必须先明确产品是否属于 CRA 管控范围，避免无效投入。

1. 判定标准（PDEs 定义）
   满足以下任一条件即纳入 CRA：
   包含固件、嵌入式软件、操作系统、应用程序；
   具备数据连接能力（有线 / 无线、直接 / 间接联网）；
   用于欧盟市场销售、分销或投入使用。
2. 常见豁免（无需 CRA 认证）
   纯硬件无数字模块（如普通机械开关）；
   仅用于个人非商业用途的开源软件；
   医疗设备（MDR）、航空设备（EASA）等已有专项法规的产品。
   三、第二步：产品风险分级（决定认证路径与成本）
   CRA 按风险从低到高分为默认类、重要类（I/II）、关键类，分级直接决定是否需要第三方公告机构（Notified Body）介入。
3. 分级标准与认证路径
   表格
   风险等级 典型产品 认证模式 第三方介入
   默认类 普通智能家居、无线耳机、消费电子 模块 A（自评） ❌ 自我声明
   重要 I 类 路由器、普通交换机、密码管理器 模块 A（用协调标准）/B+C ⚠️ 可选第三方
   重要 II 类 工业网关、车载中控、安防摄像头 模块 B+C/H ✅ 必须第三方
   关键类 防火墙、安全芯片、能源工控 PLC 模块 H/EUCC 认证 ✅ 必须第三方
4. 分级实操建议
   边界模糊时保守定级（按高风险准备），避免后期返工；
   对照 CRA 附件 II/III 逐一核对，重点关注工业、车载、能源、医疗等高敏感品类。
   四、第三步：合规体系搭建与技术准备（核心整改环节）
   无论自评还是第三方认证，必须先完成产品安全整改与体系搭建，满足 CRA 基本要求（Annex I）。
5. 核心技术整改（必做）
   安全设计：数据加密、权限控制、漏洞防护、防篡改机制；
   漏洞管理：建立 7×24 小时监控，24 小时高危预警、72 小时上报 ENISA 平台；
   SBOM 编制：生成软件物料清单（SPDX/CycloneDX 格式），含所有开源 / 闭源组件版本、漏洞信息；
   VEX 文件：漏洞说明文件，明确已修复 / 未修复漏洞及风险缓解措施。
6. 合规体系搭建（必做）
   制定安全维护计划：承诺 5 年以上安全更新（产品寿命短于 5 年除外）；
   建立文档管控流程：技术文件、测试报告、漏洞记录留存 10 年；
   员工培训：覆盖漏洞响应、文档编写、合规自查全流程。
   五、第四步：合格评定（认证核心，分自评 / 第三方）
   CRA 合格评定分模块 A（自评）、模块 B+C（型式检验 + 生产管控）、模块 H（全质量保证），按风险等级选择对应路径。
7. 模块 A：自我声明（默认类 / 重要 I 类适用）
   适用：默认类产品（如智能灯泡、无线鼠标）、重要 I 类且采用欧盟协调标准的产品；
   流程：
   完成产品安全测试与风险评估；
   编制完整技术文件（含 SBOM、VEX、测试报告）；
   签署欧盟符合性声明（DoC）；
   自行加贴 CE 标志，无需公告机构介入。
8. 模块 B+C：第三方型式检验 + 生产管控（重要 II 类 / 关键类）
   适用：重要 II 类、关键类产品（工业设备、车载电子、安全设备）；
   流程：
   选择欧盟公告机构（2026 年 6 月 11 日后正式备案生效）；
   模块 B（型式检验）：公告机构审核技术文件、测试产品，合格后发EU 型式检验证书；
   模块 C（生产管控）：企业确保量产产品与型式一致，保留生产记录；
   签署 DoC，加贴 CE 标志 + 公告机构编号。
9. 模块 H：全质量保证（关键类 / 高风险）
   适用：关键类产品（防火墙、安全芯片、能源工控）；
   流程：公告机构审核企业设计、生产、测试、售后全流程质量体系，通过后持续监督，相当于 “全流程认证”。
   六、第五步：技术文件（Technical File）编制（认证灵魂）
   技术文件是 CRA 合规的核心证据，无论自评还是第三方认证，必须完整、规范、可追溯，留存 10 年。
10. 技术文件核心清单
    产品描述：功能、架构、硬件 / 软件版本、预期用途；
    风险评估报告：网络安全风险识别、分析、缓解措施；
    SBOM+VEX 文件：软件组件清单、漏洞说明；
    安全测试报告：渗透测试、漏洞扫描、加密验证报告；
    安全维护计划：更新周期、漏洞响应流程、停服公示方案；
    符合性声明（DoC）：制造商信息、产品标识、合规标准清单。
11. 编制要点
    格式统一：采用欧盟认可模板，内容全英文；
    数据真实：测试报告需由具备资质实验室出具，漏洞记录不可篡改；
    版本可控：每版产品对应独立技术文件，变更后及时更新。
    七、第六步：CE 标志加贴与上市（最后准入环节）
12. CE 加贴规则
    位置：产品本体、铭牌、包装、说明书清晰可见；
    样式：符合欧盟标准，高度≥5mm，不可涂改、遮挡；
    标识：第三方认证产品需加贴公告机构编号（如 CE 1234）。
13. 上市前核查
    确认技术文件已归档、DoC 已签署；
    产品与技术文件一致，无未经批准的设计变更；
    漏洞监控系统已上线，可随时响应欧盟抽查。
    八、第七步：上市后持续合规（长效义务，不可忽视）
    CRA 合规不是一次性认证，上市后需履行全生命周期义务，直至产品退市后 3 年。
14. 核心上市后义务
    漏洞响应：24 小时上报高危漏洞，72 小时提交整改方案，同步用户与 ENISA 平台；
    安全更新：维护期内持续发布安全补丁，10 年内可获取；
    记录留存：漏洞报告、更新记录、用户反馈留存 10 年；
    配合抽查：欧盟监管机构可随时核查技术文件、测试记录、漏洞日志，违规直接下架 + 罚款。
15. 违规处罚（2026 年 9 月起执行）
    未加贴 CE：最高罚全球营业额 2.5%；
    漏洞瞒报 / 延迟上报：最高 1500 万欧元；
    技术文件造假：产品召回 + 市场禁入 + 刑事责任。
    九、全流程时间规划（2026–2027 关键节点）
    2026 年 6 月前：完成产品分级、合规体系搭建、技术整改；
    2026 年 6–8 月：第三方产品选择公告机构、启动型式检验；自评产品完成技术文件编制；
    2026 年 9 月：漏洞上报义务生效，上线监控系统；
    2026 年 10–12 月：获取第三方证书、签署 DoC、加贴 CE；
    2027 年 12 月：全面强制执行，无合规产品禁止销售。
    十、总结
    CRA 认证核心逻辑：先判定→再分级→强整改→严评定→全文档→长效合规。对出海企业而言，2026 年是合规准备黄金期，提前完成技术整改、体系搭建、认证流程，才能避开 2027 年执法高峰的合规风险，稳固欧盟市场份额。
    建议企业立即行动：先做产品分级自查，再按风险等级匹配认证路径，同步搭建漏洞管理与文档管控体系，确保 2026 年 9 月前完成所有准备工作，从容应对 CRA 全面落地。